如果把评论提交的‘<’,‘"’,‘>’,‘&’都转码为<>%22&;&之类的,是不是就可以防止 xxs。
huahsiung · 211 天前 · 2203 次点击这是一个创建于 211 天前的主题,其中的信息可能已经有所发展或是发生改变。
博客的评论,如果过滤关键词 script,onerror 等等可能会误判。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
‘<’,‘"’,‘>’,‘&’转码为
<>%22;&
感觉转码这四个,应该就稳了。
 |
1
vigossliao 211 天前
|
 |
2
jsq2627 211 天前  1
现在浏览器有原生 HTML Sanitizer 了
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API |
 |
3
agagega 211 天前
如果只需要展示纯文本的话,用 innerText 不就行了?
|
 |
4
hgc81538 211 天前 via iPhone
應該轉碼&<>"'去&<>"'就穩了
|
 |
5
ysc3839 211 天前 via Android
可能不止这几个字符,建议直接使用现成的 html 转义库
|
 |
7
xiangyuecn 211 天前
onclick='alert(1)'
|
|
8
xiangyuecn 211 天前
不用白名单,直接全部 ASCII 字符除了换行字母数字全部用 { 转义完事
|
Select Language